ANALISIS DE LAS VULNERABILIDADES DE UNA RED Son Son erro errore ress que que perm permiiten ten rea realiza lizarr desde esde afue afuera ra actos ctos sin sin perm permis iso o del del administrador del equipo, incluso se puede suplantar al usuario, actualmente, ya hay muchas amenazas que tratan de acceder remotamente a los ordenadores, ya sea para hacerlos servidores ilegales de Spam o para robar información.
COMO EVITARLAS Es impo imposi sibl ble e evit evitar ar las las vuln vulnera erabi bililidad dades es al 100% 100% incl inclus uso o cuan cuando do tene tenemo moss operando en nuestro sistema cortafuegos, antispam, antivirus, y detectores de código maligno. Lo que si es posible es tratar de evitarlas al máximo. Tengamos presente que las comunicaciones en la red constan de 7 capas según el modelo OSI, y las vulnerabilidades pueden estar presentes en varias capas, o incluso dentro del núcleo de nuestro sistema operativo. No debemos imaginar que con un buen antivirus podemos estar libres de vulnerabilidades, ya que las vulnerabilidades no son solo mediante virus que estén radicando en nuestro computador sino que también pueden llegar a ser mediante ejecución de código mientras visitemos alguna página web, o cuando el atacante tiene privilegios de acceso a nivel administrativo a nuestro computador.
Lista de recomendaciones para tener nuestra computadora libre de virus: 1. Actualice o cheque las actualizaciones cada cierto tiempo, pues eso permite casi adelantarse a cualquier peligro que se aproveche de la vulnerabilidad. 2. Activar Firewall. 3. Programar escaneos completos del Antivirus mensuales. 4. No caer en trampas obvias como correos spam diciéndote que ganaste la lotería en un país que ni siquiera conoces 5. Si vas a descargar música, libros, programas ejecutables, etc. procura hacerlo solo de fuentes confiables 6. Vacunar Vacunar unidades externas. (Genaro aportation). Las formas de obtener información para los análisis de vulnerabilidades son: • Escaneo de puertos • Escaneo por servicios
• Escaneo de vulnerabilidades de Aplicaciones como lo son :
OPENVAS (Software libre – licenciado bajo la GPL) NESSUS: comienza escaneando los puertos con nmap y después intenta varios exploits para atacarlo. METASPLOITS: Este proporciona información acerca de la las vulnerabilidades de la seguridad y ayuda para los sistemas de detección de intrusos. herramienta para analizar analizar e identifica identificarr las vulnerabilidades vulnerabilidades de NEXPOSE: Es una herramienta redes. METODOS Tipos de análisis de vulnerabilidades vulnerabilidades CAJA NEGRA: Es una unidad la cual su estructura estructura interna interna se desconoce, desconoce, pero la función función está documentada. Los diseñadores de hardware y de software utilizan este término para hacer referencia a los circuitos o al código de programación que ejecutan determinada función. La mecánica interna de la función no es algo que interese al diseñador que utiliza una caja negra para obtener una función. Por ejemplo, un chip de memoria puede considerarse una caja negra. Muchas personas utilizan chips de memoria, e incluso los diseñan para los equipos informáticos, pero por lo general sólo los diseñadores de chips de memoria necesitan comprender su funcionamiento interno. Existe un analista al cual solo se le da la información para acceder a la red o al sistemas esta puede ser una dirección IP, IP, por lo tanto este analista debe obtener toda la información posible. CAJA BLANCA. Es el Método de prueba del software que pone a prueba las estructuras internas o el funcionamiento de una aplicación en lugar de su funcionalidad (pruebas de caja negra). En las pruebas de caja blanca el código fuente o un binario compilado se evalúa desde un punto de vista interno para buscar vulnerabilidades de seguridad y errore erroress de progr program amaci ación. ón. Gene General ralme ment nte e se util utiliz iza a en fase fasess temp tempra rana nass del desarrollo, mientras el código y los módulos son creados. El analista puede tener acceso a toda la red q va a analizar, tiene el privilegio de entrar a todos los equipos de la red como super usuario, lo cual permite que sea mas completo. TEST DE PENETRACION. En este el analista simula ser un atacante, desde esta posición se realizan intentos
de ataques a la red, buscando debilidades y vulnerabilidades: -estudio de la red externa -análisis de servicios disponibles -estudio de debilidades -análisis de vulnerabilidades en dispositivos de red -análisis de vulnerabilidades de implementaciones y configuraciones -denegación del servicio Existen otros tipos de análisis de vulnerabilidades: Interno:: se trata trata de pruebas pruebas de penetr penetració ación n 1. Análisis Análisis de Vulnerab Vulnerabilid ilidades ades Interno desd desde e la red red inte intern rna a que que iden identitififica can n los los ries riesgo goss de las las rede redess y sist sistem emas as internos, internos, demostrand demostrando o lo que podría hacer un usuario usuario que ha ganado acceso a la red, simulando ser un usuario interno malintencionado. Este tipo de pruebas son muy interesantes pues estudios realizados sobre la seguridad de la información demuestran que alrededor del 80 al 90% de las violaciones de seguridad se originan desde usuarios internos. Externo: o: se trata trata de pruebas pruebas de penetr penetració ación n 2. Análisis de Vulnerabilidades Extern desde internet que identifican los riesgos de la red perimetral (es una red local que se ubica bica ent entre la red inte nterna rna de una orga rganización y una red red ext extern erna, generalmente Internet.)y analizan si estos pueden ser utilizados para acceder a su red, violando sus medidas de seguridad, y en tal caso examinar si se produce el debido registro de lo que está sucediendo y si se accionan o no las alertas apropiadas, verificando la efectividad de los firewalls, de los sistemas de detección de int intruso rusoss (IDS (IDS), ), de los sist sistem emas as oper operat ativ ivos os y de los los disp dispos osit itiv ivos os de comunicaciones visibles desde Internet. 3. Análisis de Vulnerabilidades de aplicaciones web: identifica los riesgos de las Aplicaciones Web, verificando los esquemas de autenticación y probando las tecnologías utilizadas en la implementación de las mismas. Los Análisis Análisis de Vulnerabi Vulnerabilidad lidades es deben efectuarse periódicamente, periódicamente, pues a diario se descubren Nuevas Vulnerabilidades debido a su carácter evolutivo.
El objetivo de la protección no son los datos como tal si no el contenido de la información sobre las personas para que no sean modificadas. Las vulnerabilidades permiten a un atacante acceder a la información confidencial, modificarla y negar un servicio. En los siguientes elementos de la infraes raesttruc ructura ura que puede haber vulnerabilidades son: •Servidores •Aplicaciones •Estaciones de trabajo •Bases de datos (Confidencialidad) •Firewalls •Enrutadores (Hardware): afecta la disponibilidad, integridad, confidencialidad
METODOLOGÍA PARA PARA VULNERABILIDAD EN LA SEGURIDAD INFORMÁTICA. Definiciones importantes. Activos de la información: son aquellas recursos hardware y software que tiene una empresa. los event eventos os que que tien tiene e el potenc potencia iall sufi sufici cient ente e para para afec afecta tar r Amenazas: son los negativamente la confidencialidad, integral o disponibilidad de los activos de la información.
Vulnerabilidad: hace referencia a una debilidad en un sistema permitiendo a un atacante atacante violar violar la confidencial confidencialidad, idad, integridad, integridad, disponibili disponibilidad, dad, control de acceso y consciencia del sistema o de sus datos y aplicaciones.
posibi bililida dad d de que que una una amen amenaz aza a en part partiicula cularr expl explot ote e una Riesgo: la posi vulnerabilidad y afecte a un activo de información.
TECNICAS PARA DETECTAR DETECTAR LAS VULNERABILIDADES DE LOS ACTIVOS. Una auditoría auditoría de seguridad seguridad informática informática o auditoría auditoría de seguridad seguridad de sistemas de información es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales generalmente por ingenieros técnicos en la informática para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
Técnica de seguridad perimetral. mediante la simulación de un ataque externo, con objetivos maliciosos, evaluamos la seguridad de la red externa de la empresa . Gracias a esa evaluación podemos describir las vulnerabilidades y fallos de seguridad que tiene el sistema, y obtener información privada de la misma , que permitirá elaborar planes preventivos de seguridad adaptados a las necesidades de la seguridad de la empresa. Técnicas de seguridad Wireless. simulando un ataque interno y externo a los sistemas de información que forman la infraestructura wireless de la empresa se detectan las vulnerabilidades del sistema y conocer el grado de seguridad que tiene las redes wireless, los tipos de ataques ataques que pueden sufrir, sufrir, en qué condicion condiciones es los puede sufrir sufrir,, así como los orígenes y consecuencias de los mismo. Técnica del Autoservicio Bancario. Evalúa y analiza el nivel de seguridad de la plataforma informática y la red IP del autoservicio bancario, detecta las vulnerabilidades del sistema e implanta una solución solución para eliminarlas eliminarlas y aumentar aumentar el nivel de seguridad. seguridad. Se describe describe todos los datos de acceso acceso a los que podría acceder un intruso en el autoservici autoservicio o bancario, los problemas del acceso, cantidad de acceso etc. Técnica de Seguridad Interna. Análisis y protección contra los riesgos procedentes de empleados ( vulnerabilidad interna) capaces de violar la seguridad de los sistemas de información de la empresa. Se localizan todas las posibles vías da acceso que puede tener un agresor interno. Un anál anális isis is desd desde e un sist sistem ema a cone conect ctad ado o a la red red inte intern rna a de la empr empres esa. a. ( simu simula land ndo o ser ser un atac atacant ante e inte interno rno), ), se util utiliz iza a a los los mejo mejores res prof profesi esion onal ales es
especi especiali alizado zadoss en el Hacking Hacking ético ético (penet (penetraci ración ón control controlada ada en los sistem sistemas as informático informáticoss de una empresa, de la misma misma forma forma que lo haría un haker o pirata informático pero de forma ética y con previa autorización por escrito).
Técnica de Análisis Forense. La técnica del análisis forense ayuda a: descubrir las vulnerabilidades que han hecho posible el ataque. Descubrir el origen y el autor del ataque. Identi Identific ficar ar y determi determinar nar las accion acciones es realiza realizadas, das, la herrami herramient entas as y métodos métodos utilizados en el ataque. Establecer las medidas adecuadas para que la situación no se repita. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sist sistem ema, a, a la par par que que se vola volara ran n los los daño dañoss ocas ocasio iona nado dos. s. Si los los daño dañoss han han prov provoca ocado do la inop inoper erat ativ ivid idad ad del del sist sistem ema, a, el anál anális isis is se denom denomin ina a anál anális isis is POSTMORTEM(después de la muerte).
Análisis de Aplicativos y del Código Fuente. Ayuda a las empresas a conocer el nivel de seguridad de las aplicaciones utilizadas en sus sistemas de información, estudia el nivel de seguridad del código de las aplicaciones de la empresa y del software de base en que se apoya. Análisis del código tanto de aplicaciones páginas web como de cualquier tipo de aplicación, independiente del lenguaje empleado. Análisis de Paginas Web. Entendida como el análisis externos de la web, comprobando vulnerabilidad como la inyección de código sql, verificación verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS) inseguridad informática o agujero de seguridad, etc.
HAKING ÉTICO profesionales de la seguridad que aplican sus conocimientos de hacking con fines defensivos (y legales). Desde el Punto de vista de Un individuo, un Hacker Ético es un profesional que tiene las habilidades para evaluar la seguridad de un sistema informático de forma integral, llevando a la practica una serie de pasos secuenciales y teniendo como un criterio trasversal una “Ética Profesional”. Desde el Punto de vista Comercial, el Hacking Ético es un servicio de Auditoría de
T.I, que ofrecen empresas especializadas, con el fin de evaluar la seguridad de un sistema informático de forma integral.
PRUEBAS DE INTRUSIÓN. El objetivo general de las pruebas de intrusión es descubrir áreas de la red de la empresa donde los intrusos pueden sacar partido de las vulnerabilidades de seguridad. Es necesario realizar varios tipos de pruebas de intrusión para los distintos tipos de dispositivos de red. Por ejemplo, una prueba de intrusión de un cortafuegos es distinta de la de un equipo de usuario estándar. Incluso una prueba de intrusión de dispositivos dispositivos en la zona de transición (DMZ) es diferente a cuando se realiza un escaneo para comprobar si es posible la intrusión en una red. Hay que sopesar el tipo de prueba de intrusión frente al valor de los datos del equipo al que se están realizando realizando las pruebas y la necesidad necesidad de conectividad conectividad a un servicio servicio específico.
PASO 1: DEFINICIÓN DEL CONTEXTO . Antes de iniciar una prueba de intrusión, la empresa tiene que definir el contexto de la prueba. Este paso incluye la determinación de la extensión de la prueba, a qué elementos se realizarán las pruebas, desde dónde se hará y quién lo hará.
Pruebas a gran escala frente a pruebas específicas: Una empresa tiene que decidir si va a realizar una prueba a gran escala de toda la red, si se va centrar en dispositivos específicos, como el cortafuegos o si va ha hacer las dos cosas. Por lo general es mejor hacer las dos para determinar el nivel de exposición a la infraestructura pública, así como objetivos de seguridad o individuales. Dispositivos, Dispositivos, sistemas y contraseñas : Al definir el contexto del proyecto la empresa también tiene que decidir de cidir acerca del ámbito de la prueba. Por ejemplo: ¿está buscando sólo vulnerabilidades que puedan poner en peligro un dispositivo o también busca la susceptibilidad a ataques de denegación de servicio? Además, la empresa tiene que decidir si permitirá que el equipo de seguridad piratee su archivo de contraseña para comprobar la selección de contraseña de sus usuarios y si someterá a sus dispositivos a rutinas de averiguación de contraseñas en toda la red. Pruebas remotas frente a pruebas locales : A continuación, la empresa tiene que decidir si las pruebas se realizarán desde una ubicación remota a través de Internet o en el mismo lugar a través de la red
local. Esta decisión decisión se dicta en gran medida medida por los objetivos objetivos seleccionados seleccionados para las pruebas y por las implantaciones de seguridad actuales. Por ejemplo, una prueba remota de un equipo detrás de un cortafuegos que oculta la traducción de la dirección de red para el acceso a Internet fallará si el cortafuegos evita el acce acceso so al equi equipo po de form forma a adec adecua uada da.. Sin Sin emba embarg rgo, o, la prue prueba ba al mism mismo o cortafuegos para comprobar si protegerá los equipos de los usuarios de un escaneo remoto sí tendrá éxito.
Pruebas internas frente a pruebas externas : Después de haber determinado el contexto de las pruebas el equipo de tecnología de la información tiene que decidir si va a utilizar recursos internos para realizar las pruebas o si va a recurrir a consultores externos. Sólo se deben utilizar las pruebas internas si una empresa no cuenta con fondos para contratar consultores externos externos o si la información es tan confidencial confidencial que nadie que no pertenezca pertenezca a la empresa debe verla. En el resto de los casos se recomienda contratar consultores externos. PASO 2: REALIZACIÓN DE LAS PRUEBAS DE INTRUSIÓN. Una metodología correcta, que implica la recopilación de información y la pruebas al entorno específico, es esencial para el éxito de la prueba de intrusión. El proceso de pruebas comienza con la recogida de tanta información como sea posible acerca de la arquitectura de red, la topología, el hardware y el software para encontrar todas las vulnerabilidades de seguridad. Cualquier vulnerabilidad de la que se sospecha su veracidad se vuelve a examinar o se le vuelven a aplicar las pruebas utilizando otras herramientas o secuencias personalizadas. Para realizar pruebas en busca de nuevas vulnerabilidades que no se hayan actualizado actualizado en los escáneres comerciales comerciales o gratuitos, gratuitos, los ingenieros de seguri segurida dad d real realiz izan an prueb pruebas as adic adicio ional nales es y ejec ejecut utan an ataq ataques ues de recie recient nte e aparición. (Este último paso es necesario porque cada día aparecen nuevos ataq ataque uess y pued pueden en pasa pasarr vari varias as sem semanas anas o meses eses ant antes de que que estas stas vulnerabilidades se incluyan en las bases de datos de vulnerabilidades de las herramientas de escaneo automatizadas.) Una vez que se haya realizado el escaneo, los ingenieros de seguridad pueden realiz realizar ar pruebas pruebas para para elemen elementos tos adiciona adicionales les defini definidos dos en el contex contexto to de las pruebas de intrusión, incluidos los ataques de denegación de servicio y las vulnerabilidades de contraseñas. Para realizar pruebas para dichos ataques en un entorno de producción sin temer los cortes de dispositivos, una empresa puede crear una imagen duplicada del dispositivo de producción y a continuación colocar la imagen en hardware similar para realizar las pruebas.
PASO 3: INFORME Y ENTREGA DE RESULTADOS . Después de finalizar las pruebas de intrusión los ingenieros de seguridad analizan toda la información derivada del procedimiento de pruebas. Entonces enumeran las vulnerabilidades y establecen la prioridad entre las mismas, clasifican los riesgos como altos, medios o bajos y recomiendan soluciones si se encuentran vulner vulnerabi abilid lidades ades.. También ambién pueden pueden proporci proporcionar onar recursos recursos,, como como enlaces enlaces de Internet, para encontrar información adicional u obtener parches para solucionar las vulnerabilidades.
El informe definitivo puede incluir las siguientes partes: un resu resume men n ejec ejecut utiv ivo o de los los resu resultltad ados os de las las prue prueba bass de intr intrus usió ión n y la información revelada concerniente a los aspectos fuertes y débiles del sistema de seguridad existente. También se incluyen los puntos clave de los resultados de las prue prueba bas; s; un info inform rme e técn técnic ico o más más deta detallllad ado o de los los resu resultltad ados os que que indi indica ca información acerca de las vulnerabilidades de cada dispositivo, que clasifica y establece la prioridad sobre los riesgos y que propone recomendaciones acerca de las soluciones, incluida la provisión de información técnica adicional sobre cómo solucionar solucionar cualquier cualquier vulnerabili vulnerabilidad; dad; información información adicional, como elementos elementos de sali salida da del del escá escáne nerr sin sin proce procesa sarr, regis registr tros os whoi whois, s, captu capturas ras de pant pantal alla la y diagramas, así como peticiones de comentarios (Request For Comment, RFC) y libros blancos relevantes, incluidos en un apéndice.